Aercom.by - Новости безопасности в Беларуси и СНГ

23 января 2018 г., вторник

Отраслевые мероприятия (Беларусь)

3 января, 2018

Конкурсы проектов в России, Беларуси и Казахстане!

19 декабря, 2017

Состоялись практические семинары Sigur – управление доступом

6 декабря, 2017

Начата подготовка к Центр безопасности. 2018

30 ноября, 2017

СКУД SIGUR — практический семинар

14 ноября, 2017

Состоялись технические семинары от Axis

28 сентября, 2017

Итоги «Центр безопасности. 2017»

Отраслевые мероприятия (зарубежные)

12 января, 2018

XI Межотраслевой Форум «CISO FORUM 2020: взгляд в будущее» пройдет 23-24 апреля 2018 года в Москве

3 января, 2018

Конкурсы проектов в России, Беларуси и Казахстане!

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Уязвимость в Explorer привела к ссоре между Microsoft и исследователем
13 января, 2011

Microsoft критикует исследователя, работающего на Google, который опубликовал 0-day уязвимость Internet Explorer на Новый Год. Уязвимость была обнаружена при помощи cross_fuzz, инструмента, призванного находить ошибки в веб-браузерах, созданного исследователем Google Михалом Залевским, который говорит, что он более месяцев 6 предупреждал Microsoft перед преданием огласке уязвимости. Тем не менее, это не удержало Microsoft от острой критики, компания утверждает, что Залевский подверг тысячи пользователей риску.
Согласно опубликованной Залевским хронологии событий, он первый раз сообщил Microsoft об уязвимости в июле прошлого года и предоставил компании копии cross_fuzz для независимой проверки. Залевский проинформировал компанию о том, что он планирует выпустить программу в январе, и Microsoft подтвердила эту информацию — признал во вторник представитель компании Microsoft Джерри Брянт.
Microsoft сообщила, что она не смогла воспроизвести проблемы при помощи инструмента cross_fuzz будучи уведомленной о проблеме в июле, несмотря на то, что Залевский настаивал, что он видел «многочисленные отказы системы и проблемы повреждения GDI» в IE. Компания утверждает, что она была уведомлена только лишь 21 декабря о новой версии cross_fuzz, которая могла вызвать потенциальный эксплуатируемый аварийный отказ системы.
Microsoft незамедлительно выпустила уведомление Security Advisory (2488013), признавая, что уязвимость охватывает все поддерживаемые версии IE. Microsoft объяснила, что уязвимость существует в результате создания неинициализированной памяти во время обработки CSS в браузере, это дает возможность хакерам использовать память в своих целях при помощи специально разработанной веб-страницы.
«Мы незамедлительно начали работу по воспроизведению проблемы с обновленной и первозданной программой и в данный момент исследуем ее дальше, чтобы определить является ли она на самом деле эксплуатируемой», — сообщил Брянт.
Вот здесь, тем не менее, истории расходятся. Залевский говорит, что он ничего якобы не слышал от Microsoft до середины декабря, когда другие смогли воспроизвести проблему при помощи первоначальной версии cross_fuzz, которая использовалась еще в прошлом июле. Согласно Залевскому, Microsoft неожиданно обеспокоилась о потенциальных негативных PR-последствиях и заявила о проблемах в IE лишь поверхностно после того, как он обновил свой код. Залевский сказал, что проблема не изменилась и выявляется при функционировании как новой, так и старой версии fuzzer и снова сообщил Microsoft, что планирует выпустить программу в январе.
«Ответ [Центра исследования безопасности Microsoft] подтверждает, что эти отказы системы воспроизводимы при помощи fuzzer от 29 июля; неясно, почему нельзя было воспроизвести их раньше, или отслеживать этот случай», — написал Залевский 29 декабря. Как и обещал, он выпустил fuzzer 1 января.
Теперь Microsoft обвиняет Залевского в повышении риска для пользователей IE — компания сообщает, что злоумышленники могут найти способ воспользоваться уязвимостью до того, как патч может быть апробирован и распространен. Залевский настаивает, что Microsoft знала об уязвимости и его плане выпустить программу в январе на протяжении более 6 месяцев, тем не менее, ничего не делала до тех пор, пока не стало слишком поздно.
Чтобы ни говорил он или компания, война прекращается, Microsoft сообщает, что она активно контролирует ситуацию и в скором времени планирует выпустить патч.

Источник: http://anti-virus.by/

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.